電信信息系統(tǒng)安全(數(shù)據(jù)庫(kù))
時(shí)間:2022-12-16 18:30:01 | 來(lái)源:信息時(shí)代
時(shí)間:2022-12-16 18:30:01 來(lái)源:信息時(shí)代
電信信息系統(tǒng)安全 : 保證系統(tǒng)應(yīng)用的安全技術(shù)體系和安全管理措施���。它保障系統(tǒng)的機(jī)密性�、完整性�、可用性、真實(shí)性和可控性����。為了能夠積極應(yīng)對(duì)各類(lèi)安全問(wèn)題,安全保障體系還需具備安全防御、安全發(fā)現(xiàn)�、安全應(yīng)急�����、安全對(duì)抗等能力�。
1.安全系統(tǒng)架構(gòu)
電信信息安全系統(tǒng)邏輯上可分為三層:
(1)保護(hù)對(duì)象層: 包含安全管理系統(tǒng)的保護(hù)對(duì)象,例如,電信信息系統(tǒng)的數(shù)據(jù)庫(kù)��、操作系統(tǒng)���、應(yīng)用軟件����、系統(tǒng)文檔等�����。
(2)安全功能層: 提供了安全管理系統(tǒng)的基本功能,為應(yīng)用層提供了基本的功能支撐����。主要包括三大部分: 應(yīng)用與平臺(tái)安全、網(wǎng)絡(luò)與系統(tǒng)安全��、安全管理和策略��。
(3)安全應(yīng)用層: 向安全管理的實(shí)際問(wèn)題提供應(yīng)用解決方案,主要包括數(shù)據(jù)責(zé)任追蹤�、安全狀況評(píng)估�、業(yè)務(wù)連續(xù)性���、安全預(yù)警����、后門(mén)防御等�����。
2. 安全功能層
(1)應(yīng)用與平臺(tái)安全: 主要包括前端應(yīng)用安全����、數(shù)據(jù)庫(kù)安全�、審計(jì)安全。
前端應(yīng)用安全: 電信信息系統(tǒng)前端應(yīng)用必須在賦予系統(tǒng)合法用戶訪問(wèn)權(quán)限前對(duì)其進(jìn)行鑒別和認(rèn)證,以確保對(duì)用戶身份的正確識(shí)別和訪問(wèn)控制,保證系統(tǒng)資源的合法使用,支持系統(tǒng)的可負(fù)責(zé)性����。具體地說(shuō),必須確保: ①提供唯一的安全認(rèn)證入口和安全權(quán)限設(shè)置功能; ②提供監(jiān)控機(jī)制,能實(shí)時(shí)記錄各個(gè)門(mén)戶內(nèi)容的訪問(wèn)情況; ③未授權(quán)用戶不得獲取進(jìn)入系統(tǒng)的能力; ④授權(quán)用戶只能以分配給他的賬戶登錄系統(tǒng),不得越權(quán)登錄、匿名登錄或以他人賬戶登錄�。前端應(yīng)用安全管理包括用戶管理、權(quán)限管理�、角色管理、密碼管理��、登錄管理和認(rèn)證管理等。
數(shù)據(jù)庫(kù)安全: 數(shù)據(jù)庫(kù)是電信信息系統(tǒng)的核心,存儲(chǔ)了系統(tǒng)的所有業(yè)務(wù)數(shù)據(jù)����、操作數(shù)據(jù)、審計(jì)數(shù)據(jù),因而數(shù)據(jù)庫(kù)的安全無(wú)疑是最重要的��。為了完成對(duì)數(shù)據(jù)庫(kù)的安全管理,電信信息系統(tǒng)數(shù)據(jù)庫(kù)安全子系統(tǒng)提供數(shù)據(jù)庫(kù)數(shù)據(jù)模型變化分析��、賬號(hào)安全管理�、數(shù)據(jù)操作DDL/DML監(jiān)控等功能。
數(shù)據(jù)庫(kù)安全分為前臺(tái)和后臺(tái)兩大部分�����。前臺(tái)負(fù)責(zé)數(shù)據(jù)庫(kù)安全子系統(tǒng)數(shù)據(jù)展示����、維護(hù)和分析; 后臺(tái)負(fù)責(zé)從數(shù)據(jù)庫(kù)的數(shù)據(jù)字典等系統(tǒng)數(shù)據(jù)中提取數(shù)據(jù)庫(kù)安全子系統(tǒng)需要的數(shù)據(jù)庫(kù)的數(shù)據(jù)對(duì)象、賬號(hào)等數(shù)據(jù),同時(shí)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)用戶執(zhí)行的數(shù)據(jù)定義語(yǔ)言(data definition language,DDL)��、數(shù)據(jù)操縱語(yǔ)言(data manipulation language,DML)語(yǔ)句的監(jiān)控�。
審計(jì)安全: 電信信息系統(tǒng)業(yè)務(wù)安全審計(jì)針對(duì)數(shù)據(jù)平臺(tái)、業(yè)務(wù)應(yīng)用的操作命令����、業(yè)務(wù)邏輯進(jìn)行審計(jì)��。審計(jì)功能能針對(duì)具體的應(yīng)用或業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)命令級(jí)別���、訪問(wèn)邏輯級(jí)別的審計(jì),包括支持對(duì)應(yīng)用系統(tǒng)、操作系統(tǒng)����、數(shù)據(jù)庫(kù)系統(tǒng)、中間件的日志的收集和分析�。通過(guò)對(duì)日志收集來(lái)分析實(shí)現(xiàn)應(yīng)用級(jí)的審計(jì),提供安全策略的制定功能?�?梢灾苯泳庉嫲踩呗?根據(jù)經(jīng)營(yíng)分析系統(tǒng)的應(yīng)用協(xié)議或應(yīng)用系統(tǒng)可以開(kāi)發(fā)具備應(yīng)用特征�、行業(yè)特征的應(yīng)用審計(jì)策略����。
業(yè)務(wù)安全審計(jì)系統(tǒng)的體系結(jié)構(gòu)應(yīng)當(dāng)包括四個(gè)層次,審計(jì)信息產(chǎn)生層、審計(jì)信息存儲(chǔ)層�、審計(jì)信息分析層和審計(jì)信息展現(xiàn)層。
(2) 網(wǎng)絡(luò)與系統(tǒng)安全: 網(wǎng)絡(luò)與系統(tǒng)安全管理包含網(wǎng)絡(luò)安全管理����、操作系統(tǒng)安全管理、安全設(shè)備安全管理等,由安全管理人員負(fù)責(zé),主機(jī)運(yùn)維管理人員�����、網(wǎng)絡(luò)運(yùn)維管理人員、數(shù)據(jù)庫(kù)運(yùn)維管理人員���、應(yīng)用系統(tǒng)運(yùn)維管理人員等相關(guān)職能人員協(xié)助實(shí)施��。
系統(tǒng)軟件安全: 其目標(biāo)是防止用戶對(duì)系統(tǒng)軟件的非法訪問(wèn),并且能夠通過(guò)使用系統(tǒng)軟件級(jí)別的安全措施限制對(duì)計(jì)算機(jī)資源的過(guò)分使用�����。主要功能包括: 識(shí)別和驗(yàn)證身份��、記錄成功和失敗的登錄���、提供適當(dāng)?shù)纳矸菡J(rèn)證方法、根據(jù)情況限制用戶的連接時(shí)間��、控制用戶對(duì)物理資源的使用�。
網(wǎng)絡(luò)層安全: 包括網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)傳輸安全����、防止網(wǎng)絡(luò)監(jiān)聽(tīng)等幾方面。
網(wǎng)絡(luò)邊界保護(hù)主要使用的技術(shù)是防火墻,其作用在于防止電信信息系統(tǒng)內(nèi)部的網(wǎng)絡(luò)環(huán)境和信息遭到外部的攻擊,通過(guò)允許、拒絕或者重新定向流經(jīng)防火墻的數(shù)據(jù)流,實(shí)現(xiàn)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)服務(wù)和訪問(wèn)的控制和審計(jì)����。
網(wǎng)絡(luò)傳輸安全的目標(biāo)是能夠禁止以下活動(dòng)的出現(xiàn): ①外來(lái)者或系統(tǒng)中未授權(quán)用戶試圖訪問(wèn)網(wǎng)絡(luò)連接; ②攻擊者可以竊聽(tīng)或以其他方式捕獲、查看或修改系統(tǒng)之間傳輸?shù)臄?shù)據(jù); ③外來(lái)者假冒系統(tǒng)中的授權(quán)用戶,或系統(tǒng)中的某一用戶假冒另一用戶,接收網(wǎng)絡(luò)上傳來(lái)的數(shù)據(jù); ④外來(lái)者假冒系統(tǒng)中的授權(quán)用戶,或系統(tǒng)中的某一用戶假冒另一用戶,向網(wǎng)絡(luò)發(fā)送數(shù)據(jù); ⑤用戶可能作為接收(或發(fā)送)端參與了數(shù)據(jù)傳輸,而事后拒絕承認(rèn); ⑥某個(gè)授權(quán)的用戶可能過(guò)度消耗網(wǎng)絡(luò)和系統(tǒng)資源,降低其他用戶訪問(wèn)和使用這些資源的能力; ⑦由于管理員或其他特權(quán)用戶的粗心�����、疏忽或敵對(duì)行為,導(dǎo)致網(wǎng)絡(luò)連接被隨意使用����。
為了防范網(wǎng)絡(luò)監(jiān)聽(tīng),主要是加強(qiáng)主動(dòng)防范措施,盡量使竊聽(tīng)手段無(wú)法實(shí)現(xiàn)?�?梢圆捎玫闹鲃?dòng)防范措施有: 分割網(wǎng)段��、使用靜態(tài)ARP表���、采用第三層交換方式��、對(duì)傳輸數(shù)據(jù)加密。
備份與恢復(fù): 安全恢復(fù)是電信信息系統(tǒng)發(fā)生安全事故后,保障業(yè)務(wù)正?���;謴?fù)運(yùn)轉(zhuǎn),把損失降低到最小的重要保證。在安全恢復(fù)的過(guò)程中,企業(yè)可以根據(jù)具體受損失情況,決定是否訴諸于法律,并協(xié)助相關(guān)單位(例如司法、執(zhí)法機(jī)關(guān)等)進(jìn)行計(jì)算機(jī)取證工作�。
檢測(cè)與響應(yīng): 電信信息系統(tǒng)需要實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)環(huán)境和主機(jī)的入侵事件并及時(shí)響應(yīng),并且需要定期檢查網(wǎng)絡(luò)和系統(tǒng)的漏洞,提前做好預(yù)防。
惡意代碼防護(hù): 電信信息系統(tǒng)需要防御各種類(lèi)型的惡意代碼,如病毒����、蠕蟲(chóng)、邏輯炸彈和特洛伊木馬等�。惡意代碼的防護(hù)是一個(gè)完整的過(guò)程,在惡意代碼傳播、侵入���、復(fù)制和發(fā)作的整個(gè)過(guò)程中都需要進(jìn)行惡意代碼的防護(hù)����。惡意代碼防護(hù)一般采用模式匹配的方法檢測(cè)已知或未知的惡意代碼,需要能夠定期防范新出現(xiàn)的惡意代碼���。
3. 安全應(yīng)用層
(1)數(shù)據(jù)責(zé)任追蹤: 在電信信息系統(tǒng)審計(jì)功能的基礎(chǔ)之上構(gòu)建的基礎(chǔ)應(yīng)用����。數(shù)據(jù)責(zé)任追蹤應(yīng)用的目的在于通過(guò)系統(tǒng)的日志記錄來(lái)判斷安全事件(數(shù)據(jù)泄露�、丟失等)的具體原因,如果屬于人為或者管理等原因產(chǎn)生的安全事件,則通過(guò)對(duì)審計(jì)日志的查閱和分析來(lái)找出安全事故的具體責(zé)任人,追蹤該用戶責(zé)任。
(2)系統(tǒng)安全狀況評(píng)估: 對(duì)電信信息系統(tǒng)安全狀況的一個(gè)全面展現(xiàn),目的在于幫助經(jīng)營(yíng)分析系統(tǒng)運(yùn)行維護(hù)人員從各個(gè)角度了解系統(tǒng)目前的安全狀況,發(fā)現(xiàn)問(wèn)題則進(jìn)行告警并提出修復(fù)建議�。
(3)業(yè)務(wù)功能連續(xù)性: 目的在于通過(guò)安全故障恢復(fù)技術(shù)與管理手段來(lái)防止經(jīng)營(yíng)分析業(yè)務(wù)活動(dòng)中斷,在安全事故發(fā)生時(shí),能夠盡量快地恢復(fù)重要業(yè)務(wù)的再運(yùn)行,保證經(jīng)營(yíng)分析系統(tǒng)的業(yè)務(wù)流程不受重大故障和災(zāi)難的影響。
(4)安全預(yù)警: 目的在于通過(guò)系統(tǒng)發(fā)出警告音�����、自動(dòng)發(fā)送郵件、短信等方式向安全管理員傳遞系統(tǒng)安全警告,方便安全管理員及時(shí)發(fā)現(xiàn)安全事件,并分析安全事件的起因,從而及早預(yù)防和解決安全問(wèn)題,減少安全問(wèn)題帶來(lái)的損失���。
(5)系統(tǒng)后門(mén)防御: 主要目的在于防止電信信息系統(tǒng)軟件廠商��、集成商以及企業(yè)內(nèi)部員工等在軟件內(nèi)部植入后門(mén)以達(dá)到蓄意破壞或者從中謀利的目的,從而保障系統(tǒng)正常實(shí)施和運(yùn)行的安全����。后門(mén)防御應(yīng)用需要從管理和技術(shù)兩個(gè)方面進(jìn)行預(yù)防和控制�。
在線咨詢
